باج‌افزار Locky و روشی جدید برای گریز از تشخیص

۱۲چند هفته بود که متخصصان امنیتی موفق شده‌ بودند نرخ آلودگی به باج‌افزار Locky را کاهش دهند. این موفقیت به دلیل مقابله‌ی کارشناسان با تروجان بارگیری‌کننده‌ی Nemucod است که در پویش‌های مختلف برای توزیع باج‌افزار Locky استفاده می‌شد. اما الان محققان می‌گویند، عوامل باج‌افزار Locky روش خود را تغییر داده‌ و قابلیت‌های بیشتری به Locky اضافه کرده‌اند.

براساس گفته‌ی گروه حفاظت در برابر تروجان مایکروسافت، عوامل باج‌افزار Locky نوع ضمیمه‌های مخرب در پویش‌های هرزنامه را، برای گریز از تشخیص، تغییر داده‌اند. محققان مشاهده کرده‌اند که نویسندگان Locky برای مخفی کردن Nemucod از ضمیمه‌های wsf. استفاده نمی‌کنند.
مایکروسافت در یک پست فنی، در وبلاگ خود در خصوص این تحقیقات نوشت: «ما شاهد این بودیم که نویسندگان Locky با دیدن اینکه تعدادی زیادی از رایانامه‌ها مسدود می‌شوند، ضمیمه‌های مخرب خود را از پرونده‌های wsf. به پرونده‌های میانبر با پسوند LNK. تغییر دادند که این پرونده‌ی جدید حاوی دستورات پاورشِل برای بارگیری و اجرای Locky است.»

مایکروسافت می‌گوید یک هرزنامه با ضمیمه‌ی zip. که حاوی پرونده‌ی LNK. بود را بررسی کرده است. در یک نمونه نام پرونده‌ی LNK. برابر با «bill» بود به این دلیل که قربانی فکر کند این پرونده یک صورتحساب است.

۱_۶۹
زمانی‌که مایکروسافت نمونه‌ی LNK. را بررسی کرد متوجه دستورات پاورشِل در داخل این پرونده‌ی میانبر شد. پرونده‌ی LNK. تروجان بارگیری‌کننده‌ی Ploprolo.A را اجرا می‌کند. در گزارش تحقیقات مایکروسافت آمده است: «زمانی که اسکریپت پاورشِل با موفقیت اجرا شود، Locky را در یک پوشه‌ی موقتی (مثلاً BJYNZR.exe) بارگیری و اجرا خواهد کرد و چرخه‌ی آلودگی کامل می‌شود.»
به گفته‌ی مایکروسافت، Ploprolo.A یک اسکریپت مخرب پاورشِل است که اولین بار در ماه سپتامبر کشف شد. این اسکریپت معمولاً توسط نفوذگران در پرونده‌های LNK ،.CHM ،.BAT ،.PDF. و PPTX. تعبیه می‌شود.

نویسندگان باج‌افزار Locky با هدف قرار دادن بیمارستان‌ها با ضمیمه‌های DOCM. تابستان شلوغی را در ماه آگوست داشته‌اند. در ماه ژوئن، این باج‌افزار تغییرات فنی را دریافت کرد و بخش قابل توجهی از پویش هرزنامه بات‌نت Necurs را به خود اختصاص داد. در واقع باج‌افزار Locky در ماه فوریه زمانی‌که مرکز پزشکی پروتستان هالیوود، مبلغ ۱۷ هزار دلار را به عنوان باج برای رمزگشایی پرونده‌هایش پرداخت کرد، بدنام شد.
باج‌افزار Locky از زمانی‌که در ۱۶ ماه فوریه کشف شد و کاربران در بیش از ۱۰۰ کشور را هدف قرار داد، بسیار قوی شده است. یک بردار حمله‌ی قوی مربوط به Locky یک پیام رایانامه‌ای حاوی ضمیمه‌ی اسناد Word با ماکروهای مخرب است. زمانی‌که ماکرو شروع به کار کرد، یک اسکریپت اجرا شده و بر روی رایانه‌ی قربانی Locky بارگیری خواهد شد.

براساس تحلیلی از CheckPoint بر روی این باج‌افزار، ۱۰ نوع بارگیری‌کننده‌ی مختلف برای Locky مستند شده است. در هریک از این موارد، بارگیری‌کننده در تلاش است با مخفی کردن بار داده‌ی Locky در پرونده‌ها با نوع‌های مختلف (doc ،.docm ،.xls. و js.) از تشخیص جلوگیری کند و این کار معمولاً در قالب ضمیمه‌های مربوط به صورتحساب انجام می‌شود. به گفته‌ی CheckPoint باج‌افزار Locky یک باج‌افزار منحصربفرد نیست. در عوض می‌توان موفقیت مرگ‌بار Locky را به پویش‌های هرزنامه‌ای مؤثر آن نسبت داد.
با این موج جدید از باج‌افزار Locky، مایکروسافت توصیه می‌کند تا ماکروها را در اسناد آفیس غیرفعال کنید و از محصولات ضدبدافزاری بلادرنگ و به‌روز استفاده کنید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter